Facebook dikabarkan telah memperbaiki bug kritis di Instagram yang dapat menyebabkan remote-code-execution dan merubah perangkat menjadi alat mata-mata.
Diungkap secara pribadi kepada Facebook, pemilik Instagram, oleh Check Point, kelemahan keamanan digambarkan sebagai “kerentanan kritis dalam pemrosesan gambar Instagram.”
Dilacak sebagai CVE-2020-1895 dan diberi skor CVSS 7,8/10, Facebook mengatakan bahwa kerentanan tersebut adalah masalah heap overflow.
“Heap overflow yang besar dapat terjadi di Instagram untuk Android saat mencoba mengupload gambar dengan dimensi yang dibuat secara khusus. Ini memengaruhi Instagram versi sebelum 128.0.0.26.128,” kata Facebook dalam advisory keamanan yang diterbitkan.
Dalam sebuah posting blog, peneliti keamanan siber Check Point mengatakan mengirim satu gambar berbahaya sudah cukup untuk serangan yang berhasil. Serangan dapat dipicu setelah gambar yang dibuat dikirim – melalui email, WhatsApp, SMS, atau platform komunikasi lainnya – dan kemudian disimpan ke perangkat korban.
Apakah gambar disimpan secara lokal atau manual, cukup membuka Instagram setelahnya sudah cukup untuk mengeksekusi kode berbahaya.
Masalahnya adalah bagaimana Instagram menangani library pihak ketiga yang digunakan untuk pemrosesan gambar. Secara khusus, Check Point berfokus pada Mozjpeg, dekoder JPEG open source yang dikembangkan oleh Mozilla yang tidak dikonfigurasi dengan benar oleh Instagram untuk menangani unggahan gambar.
File gambar yang berisi payload dapat memanfaatkan daftar izin Instagram yang luas di perangkat seluler, memberikan akses ke sumber daya apa pun di ponsel yang izin aksesnya sudah dimiliki oleh aplikasi Instagram.
Ini dapat mencakup untuk akses ke kontak telepon perangkat, data lokasi/GPS, kamera, dan file yang disimpan secara lokal. Di aplikasi Instagram itu sendiri, kerentanan RCE juga dapat digunakan untuk mencegat pesan dan membacanya, menghapus atau memposting foto, atau mengubah pengaturan akun.
Baca Juga: “Kerentanan Instagram Ini Memungkinkan Untuk Mengambil Alih Akun Siapapun“
“Pada tingkat paling dasar, eksploitasi bug Instagram ini dapat digunakan untuk merusak aplikasi Instagram pengguna, menolak akses mereka ke aplikasi sampai mereka menghapusnya dari perangkat mereka dan menginstalnya kembali, menyebabkan ketidaknyamanan dan kemungkinan kehilangan data,” tambah Check Point.
Penerbitan rincian kerentanan dilakukan enam bulan setelah pengungkapan pribadi untuk memberi waktu agar pengguna bisa menerima pembaruan keamanan dan mengurangi risiko eksploitasi.
“Kami telah memperbaiki masalah ini dan belum melihat bukti adanya penyalahgunaan kerentanan,” kata Facebook. “Kami berterima kasih atas bantuan Check Point dalam menjaga keamanan Instagram.”
